Les plates-formes de virtualisation deviennent une cible de choix pour les gangs de ransomwares
La société de sécurité Kaspersky a publié un outil gratuit qui permet aux victimes de l’algorithme de chiffrement du rançongiciel Yanluowang, qui cible les machines virtuelles, de récupérer leurs données. Yanluowang fait partie d’une tendance croissante qui a vu des gangs de rançongiciels cibler la virtualisation dans le cadre de leurs attaques.
Repéré pour la première fois par des chercheurs à la fin de l’année dernière, Yanluowang a été déployé contre des organisations de services financiers, ainsi que des entreprises d’autres secteurs basées principalement aux États-Unis, au Brésil et en Turquie. Mais une faille dans le système de chiffrement des ransomwares a permis aux ingénieurs de Kaspersky de proposer un correctif qui peut être téléchargé ici et aide les victimes à déchiffrer les informations.
Le ransomware Yanluowang a la fonctionnalité de mettre fin aux machines virtuelles, aux processus et aux services, prévient l’équipe de recherche de Kaspersky. Et les cybercriminels à l’origine des logiciels malveillants ne sont pas les seuls acteurs menaçants ciblant la virtualisation comme vecteur d’attaque potentiellement lucratif.
La montée des attaques de ransomwares sur les plateformes de virtualisation
Les attaques de ransomwares sur les plates-formes de virtualisation ont augmenté au cours de l’année écoulée, selon un nouveau rapport de la société de sécurité Mandiant. Le rapport Cyber Trends and Insight de la société, publié mardi, indique que l’équipe de Mandiants a noté une augmentation constante des attaques sur les plates-formes de virtualisation tout au long de 2021.
VMware, vSphere et ESXI [virtualisation] Les plates-formes sont ciblées par plusieurs acteurs de la menace, selon le rapport, y compris ceux associés aux gangs prolifiques de ransomwares en tant que service (RaaS) Hive, Conti, BlackCat et DarkSide.
Le rapport indique que les pirates armés d’informations d’identification compromises se connecteront au logiciel de gestion de serveur VMware vCenter pour découvrir tous les hôtes ESXi utilisés dans cet environnement. Le nombre de ces hôtes déployés par une entreprise individuelle peut atteindre des milliers. Les hôtes ESXi sont une cible mûre pour de nombreux acteurs, indique le rapport. Ils doivent se connecter directement à ces serveurs pour déployer un rançongiciel, ce qui a un impact sur la disponibilité de tous les hôtes virtualisés exécutés sur le serveur.
Contenu de nos partenaires
En janvier, VMware a été contraint de publier un correctif pour lutter contre une vulnérabilité dans ses stations de travail, Fusion et ESXi, qui aurait pu être exploitée par des pirates.
Pourquoi la virtualisation est-elle une cible pour les ransomwares ?
Le passage des systèmes sur site aux environnements virtuels basés sur le cloud, exacerbé par la pandémie de Covid-19, a conduit les gangs de ransomwares à considérer les plates-formes de virtualisation comme une cible attrayante, déclare Jason Steer, CISO mondial de la société de sécurité Recorded Future. L’année dernière, nous avons vu pour la première fois des produits de [cloud infrastructure vendors] Oracle et Citrix ciblés par des criminels, dit-il.
Les gangs RaaS vendent de plus en plus leur capacité à cibler des environnements virtuels sur les marchés du dark web, ajoute Steer. Nous avons certainement vu qu’il y a une augmentation de la demande d’outils de ransomware qui peuvent fonctionner dans des environnements virtuels qui n’existaient pas il y a deux ans, dit-il. Cela reflète une tendance à ne pas se concentrer uniquement sur Windows, mais également sur Linux et les systèmes de virtualisation.
Pouvez-vous protéger les environnements virtuels contre les attaques de ransomware ?
Les attaques contre l’infrastructure virtuelle peuvent être difficiles à arrêter rapidement, déclare David Mata SVP pour la gestion de crise mondiale chez le fournisseur de sécurité Darktrace.
Ce type de ransomware cible le plan de gestion de la plate-forme de virtualisation et nous avons vu l’infrastructure virtuelle ciblée comme vecteur d’attaque, en particulier lorsque cette infrastructure est directement exposée à Internet, explique Mata. Cela permet généralement aux attaquants de retarder la récupération et la correction en s’assurant que les sauvegardes, ainsi que d’autres fonctionnalités de gestion de serveur, sont rendues indisponibles.
Mais il existe des mesures que les leaders technologiques peuvent prendre pour sécuriser leurs environnements virtuels, explique Steer. Nous encourageons les clients à rechercher des signes révélateurs d’activité d’acteurs menaçants dans les systèmes avant que le bouton du rançongiciel ne soit touché et que les données ne soient cryptées, dit-il.
Il existe une énorme quantité de renseignements sur les tactiques de vie hors de la terre que les acteurs de la menace utilisent pour collecter toutes ces informations sur l’emplacement des serveurs, l’emplacement des utilisateurs et l’emplacement des données.